Je souhaite avoir des informations sur le modèle de responsabilité partagée

La sécurité et la conformité sont la responsabilité à la fois d'AWS et du client. Ce modèle peut atténuer la charge opérationnelle qui pèse sur le client, car les services AWS exploitent, gèrent et commandent les composants depuis le système d'exploitation hôte jusqu'à la sécurité physique des installations dans lesquelles les services sont exploités, en passant par la couche de virtualisation. Le client assume toujours la responsabilité et la gestion du système d'exploitation « invité » (notamment les mises à jour et les correctifs de sécurité), d'autres logiciels d'application connexes, de même que la configuration du pare-feu du groupe de sécurité fourni par AWS. Les clients doivent choisir avec soin les services, car leurs responsabilités varient en fonction des services utilisés, de l'intégration de ces services dans leur environnement informatique, ainsi que de la législation et de la réglementation applicables. La nature de cette responsabilité partagée offre également une certaine flexibilité qui donne le contrôle au client autorisant le déploiement. Comme indiqué dans le graphique ci-dessous, cette différenciation de responsabilité implique la sécurité du cloud côté AWS et sécurité du cloud côté client.

Responsabilité d'AWS pour la sécurité du cloud : AWS est responsable de la protection de l'infrastructure exécutant tous les services proposés dans le cloud AWS. Cette infrastructure est composée du matériel, des logiciels, du réseau et des installations exécutant les services cloud d'AWS.

Responsabilité du client pour la sécurité du cloud : la responsabilité du client sera déterminée en fonction des services cloud d'AWS que ce dernier choisit. Ces services détermineront le niveau de configuration que le client devra effectuer dans le cadre de sa responsabilité en matière de sécurité. Par exemple, les services tels qu'Amazon Elastic Compute Cloud (Amazon EC2), Amazon Virtual Private Cloud (Amazon VPC) et Amazon S3 sont placés dans la catégorie Infrastructure as a Service (IaaS) et dans ce sens, le client doit effectuer toutes les configurations de sécurité et tâches de gestion nécessaires. Si un client déploie une instance Amazon EC2, il est responsable de la gestion du système d'exploitation invité (mises à jour et correctifs de sécurité compris), des logiciels, applications et utilitaires installés par le client sur la ou les instances, ainsi que de la configuration du pare-feu fourni par AWS (groupe de sécurité) sur chaque instance.

Responsabilité partagée AWS

Ce modèle de responsabilité partagée entre AWS et le client s'étend également aux contrôles des actifs informatiques. De la même manière que l'exploitation de l'environnement informatique est partagée entre AWS et ses clients, la gestion, l'utilisation et la vérification des contrôles informatiques sont elles aussi partagées. AWS peut soulager les clients au niveau de l'exécution des contrôles en gérant ceux associés à l'infrastructure physique déployée au sein de l'environnement AWS, lesquels étaient peut-être jusqu'à alors gérés par le client lui-même. Etant donné que chaque déploiement client sur AWS est différent, les clients peuvent tirer parti de ce transfert de gestion de certains contrôles informatiques vers AWS, donnant lieu à un (nouvel) environnement de contrôle distribué. Les clients peuvent alors utiliser la documentation disponible sur le contrôle et la conformité d'AWS pour réaliser leurs procédures d'évaluation et de vérification, si besoin. Vous trouverez ci-dessous des exemples de contrôles gérés par AWS et/ou par des clients AWS.

Contrôles acquis : contrôles qu'un client acquiert à partir d'AWS.

  • Contrôles physiques et de l'environnement

Contrôles partagés : contrôles qui s'appliquent à la couche de l'infrastructure et aux couches du client, mais dans des contextes ou des perspectives complètement distincts. Dans un contexte de contrôle partagé, AWS fournit les prérequis de l'infrastructure et de son côté, le client doit assurer la mise en œuvre de ses propres contrôles dans le cadre de son utilisation des services AWS. En voici quelques exemples :

  • Gestion des correctifs : AWS est responsable de la correction des défauts liés à l'infrastructure, mais le client est responsable de la correction de son ou ses systèmes d'exploitation et applications invités.
  • Gestion de la configuration : AWS entretient la configuration de ses infrastructures, mais le client doit configurer ses propres systèmes d'exploitation, bases de données et applications invités.
  • Connaissance et formation : AWS forme les collaborateurs AWS, mais le client est responsable de la formation de ses propres collaborateurs.

Spécificité client : contrôles étant uniquement sous la responsabilité du client en fonction de l'application déployée dans les services AWS. En voici quelques exemples :

  • la protection du service et des communications ou la sécurité de zone pouvant nécessiter de la part du client un routage, ou des données de zone au sein d'environnements de sécurité particuliers.
Responsabilité partagée AWS

 

Contactez-nous